NAP (Network Access
Protection), Windows Server 2008 ve Windows Vista ile birlikte gelen olan bir
ağ güvenliği uygulamasıdır. Aslında NAP bir güvenlik teknolojisinden çok bir
kontrol mekanizmasıdır. Yaptığı kontrollerin sonucunda da dolaylı yoldan
güvenlik konusunda yardım sağlamaktadır. Sistem ağa bağlanan bilgisayarların
durumlarına göre erişim izni verip vermemeye karar vermektedir. İzin belirlenen
kurallar çerçevesinde kararlaştırılmaktadır, kurallara uygun olmayan
istemcilere ise yardımcı olup çözümler üretmektedir.
NAP ağa dahil olacak bilgisayarları kontrol ederken kullandığı bazı kriterler
şunlardır:
o
Güncel ve aktif bir anti-virüs programı olması
o
Güncel ve aktif bir anti-spyware programı olması
o
Etkin bir güvenlik duvarı bulunması
o
Otomatik Windows güncelleştirmelerinin etkin olması.
Bu kriterler NAP
tarafından kontrol edilir ve ağa erişim izni verilir, bu sayede ağ daha güvenli
hale gelir.
NAP Bileşenleri
o
Sunucu Tarafı
1. NPS (Network Policy
Server):
NPS, Windows Server 2000 ve 2003 'de bulunan IAS’ın (Internet Authentication
Service) yerini almıştır. Bu katmanda kimlik doğrulama ve yetkilendirme
hizmetleri yapılır.
2. SHV (System Health
Validator):
İstemcilerde sistemin sağlık denetimini yapan SHA'ları denetleyen katmandır.
Yönetici kendi SHV'sini belirleyip güvenlik kriterleri oluşturabilir.
3. ES (Enforcement Server): EC (Enforcement
Client)'in sunucudaki karşılığıdır. EC ile birlikte istemcinin sağlık durumuna
göre sınırlı veya sınırsız erişim hakkı verilmesini sağlarlar.
4. QS (Quarantine Server): SHV ve EC arasnıdaki
aracı bileşendir.
5. HRA (Health Registration
Authority): HRA,
Sertifika Otoritesi yapılandırmasın esnasında sertifika sunucusundan istemci
bilgisayarlar adına sağlık sertifikası talebi yapar ve sağlık durumunlarına
göre sertifikaları istemcilere iletir.
6. IIS 7.0: IPsec uygulaması
kullanılırken HRA HTTP üzerinden sertifika isteminde bulunur. Bu sebeple IIS
(Internet Information Services) kurularak sunucunun HTTP yayını yapması
sağlanır.
o
İstemci Tarafı
o
SHA (System Health Agent): Belirlenen sağlık
kriterlerine uygun olarak bilgisayarlardaki denetlemeyi yaparlar ve istemcinin
durumu ile ilgili sistem sağlığı bilgileri oluşturular.
o
QA (Quarantine Agent): SHA'ların oluşturduğu
sistem sağlığı bilgilerini EC'ye bildirirler. Çalışması için işletim
sistemindeki NAP Agent hizmeti aktif olmalıdır.
o
EC (Enforcement Client): Ağda uygulanan NAP
yönteminin istemcilerde etkinleştirilmesini sağlar.
NAP Uygulamaları
NAP uygulama senayoları 4 başlık altında toplanabilir:
NAP uygulama senayoları 4 başlık altında toplanabilir:
1. DHCP uygulaması: Ağa dahil olmak isteyen
bir bilgisayar ilk olarak DHCP sunucusundan IP isteğinde bulunmaktadır. Bu
işlem sırasında NAP bilgisayar üzerindeki gerekli kontrolleri yapar ve eğer
kullanıcı gerekli koşulları sağlıyor ise kullanıcıya IP ataması yapılır. Bu
yöntem kullanıcıların yönetici (administrator) haklarına sahip olmadıkları
ağlarda tercih edilmektedir; çünkü kullanıcılar yönetici haklarına sahip iseler
el ile ip atayıp ağa dahil olabilirler ve sistem istenilen güvenliği
sağlayamaz.
2. VPN uygulaması: VPN sunucusuna bir istek
geldiğinde sunucu bunu NPS sunucusuna iletir ve bağlanılacak bilgisayar için
sağlık kontrolleri gerçekleştirilir. İstemci gerekli koşulları sağlıyorsa ağa
dahil olur. Gerekli koşullar sağlanmıyorsa kullanıcı kısıtlı yetkilerle ağa
dahil olur. Bu sırada istemcinin sağlık bilgileri Remediation Server'a
gönderilir. Remediation Server ile istemci arasındaki haberleşme sonucu istemci
tarafında gerekli görülen güncelleştirmeler yapılır ve güncelleştirilmiş sağlık
durumu kontrolden geçer. Tüm gerekli işlemlerin yapıldığı doğrulandıktan sonra
NAP Health Policy Server kullanıcının durumunu kontrol eder ve kullanıcıyı
uygunsa ağa dahil eder.
3. 802.1x uygulaması: 802.1x Yerel ağ (LAN) ve
kablosuz yerel ağlarda (WLAN) güvenli kimlik denetimini sağlamaktadır. Bu
yöntem ile de sınırlı ve güvenli ağlar oluşturup kimlik denetimi ile
kullanıcılar istenilen sanal ağa yönlendirilebilir.
4. IPSec (Internet Protocol
Security) uygulaması: Bu uygulama sayesinde yerel ağda sınırlı ve
güvenli gibi mantıksal sanal ağlar yaratılabilir. Sunucuda oluşturulan sağlık
sertifikları ağdaki bilgisayarların sağlık durumlarını kontrol ederek uygun
olan ağa dahil eder.
Bu uygulamaların
yapısından da anlaşıldığı gibi; kullanılan yöntemin mevcut ortama göre işleyiş
amacına ulaşma oranları büyük değişiklik gösterebilmektedir. Başlangıçta da
belirtildiği gibi NAP yaptığı kontrollerin sonucunda dolaylı yoldan güvenlik
konusunda yardım sağlamaktadır. Sistem ağa bağlanan bilgisayarların durumlarına
göre erişim izni verip vermemeye karar vermektedir. İzin belirlenen kurallar
çerçevesinde kararlaştırılmaktadır, kurallara uygun olmayan istemcilere ise
yardımcı olup çözümler üretmektedir.
Hiç yorum yok:
Yorum Gönder